VPN casalinga

lv0 · 2022-12-30T16:46:28+00:00

Ciao a tutti, premetto che sono piuttosto ignorante in materia, ma il mondo del networking mi ha sempre affascinato. Mia sorella si è trasferita da poco all'...

leofer

Cross-check, il timhub standard non ha la possibilità di aggiungere rotte statiche ( instradamenti ).
Soluzione più semplice secondo me è attivare il masquerading sul firewall della lan del dlink, ti natta tutto il traffico ma non hai bisogno di altro sul timhub

in alternativa puoi rootare il timhub e modificare a mano /etc/config/network per aggiungere una rotta statica, oppure installare la gui ansuel e avere veramente un router, però se ti serve solo la vpn secondo me è più rapido nattare openwrt. My2cents

timhub stock

timhub con gui ansuel

lv0

edofullo Ho WindTre. Se non dovessi riuscire a installare la GUI Ansuel va in brick?

leofer se ti serve solo la vpn secondo me è più rapido nattare openwrt

Si, in effetti penso sia più semplice e immediato per me che sono un novellino 🙂

leofer attivare il masquerading sul firewall della lan del dlink

Questo lo attivo in Network > Firewall e seleziono la spunta "Masquerading" della LAN => WAN?

bortolotti80

lv0 ho attivato il DMZ

Va bene, tranne questo, quel dispositivo non ha un firewall, nelle impostazioni che stiamo seguendo, è inutile esporlo in internet oltre che pericoloso

Come ha detto leofer, sembra tu non possa avere una rotta statica nel tim hub, perciò si potrebbe provare con la soluzione principale del NAT sulla rete wireguard (impostazione gestibile da openwrt come masquerading)

edofullo

edofullo E non puoi metterlo in bridge sbloccandolo con la GUI ansuel?

Che ISP hai? Alcuni ti consentono comunque di aprire una seconda PPP sul OpenWRT.

leofer

lv0 Ho WindTre. Se non dovessi riuscire a installare la GUI Ansuel va in brick?

Teoricamente no, ha due partizioni di boot con due firmware separati proprio per evitare bootloop, il bootloader è bloccato quindi non si può di fatto cambiare firmware se non le varie versioni di Tim ( la gui è un'aggiunta sopra il firmware già esistente, basato su openwrt anche lui )

lv0 Questo lo attivo in Network > Firewall e seleziono la spunta "Masquerading" della LAN => WAN?

Si esatto

lv0

leofer Si esatto

Boh, non funziona lo stesso 😅 La connessione viene stabilita, ma non naviga. I log sembra ok, nel senso che mi dice connesso e ogni 25 secondi circa invia i pacchetti keepalive.
Non è che c'è qualche blocco firewall a monte? O magari sistemare le interfacce di OpenWRT, la WAN mi dice "empty"

lv0

Ragazzi, forse ho trovato la luce in fondo al tunnel.
Praticamente non riesce a risolvere gli indirizzi. Se eseguo un ping con la VPN attiva riesco a vedere i router (TIM Hub e il D-Link). Se faccio un ping su 8.8.8.8 viene risolto, stessa cosa per 1.1.1.1. Ecco, per quest'ultimo riesco anche ad andare sul sito da Safari e ad aprire la pagina web.
Il problema sembra essere quindi i siti che sono scritti senza essere indirizzi IP. Non è un problema di DNS?

Edit: mi rispondo da solo, era un problema di DNS. Ho aggiunto i DNS di Google e funziona correttamente! Se provo a vedere il mio IP mi esce quello della linea fissa!
Grazie mille a tutti per l'aiuto che mi avete dato! 😃

leofer

Curiosità, a quanto arrivi con uno speedtest sotto vpn ?

Personalmente mi aspettavo qualcosina di più dal repeater che ho usato per le prove ( un Netgear ex3700 ), arrivo circa sui 20/25 mbit/s connesso in lan, ma tra wifi e CPU da 400mhz penso che più di così non riesca :/

lv0

leofer sotto Wi-Fi arrivo a circa 15 mbit/s, ma immaginavo di non avere prestazioni alte, sia per l’hardware del router che anche la mia linea

mtallon

Buongiorno a tutti, riprendo la discussione perchè mi ritrovo in una situazione simile ma non riesco a completare con successo la configurazione.
Tempo fa ho installato OperWrt su un TP-Link RE 450 (IP statico 192.168.0.3); questo è collegato tramite cavo ethernet al modem/router TIM Hub (192.168.0.1) e attualmente fa da access point wireless per coprire una parte di casa che è raggiunta a fatica dal wifi del Tim Hub.
Ho seguito passo passo il tutorial su https://openwrt.org/docs/guide-user/services/vpn/wireguard/server per Wireguard, configurato il forward della porta 22 dal router verso la porta 51820 del TP-Link e dopo smanettamenti vari la VPN sembra funzionare ma riesco a raggiungere solamente l'IP del TP-Link (192.168.0.3 oppure quello in VPN 192.168.9.1), nessun IP locale della 192.168.0.x e non riesco a navigare su internet. Credo che il problema sia la configurazione del firewall lato OpenWrt sul Tp-Link ma non ho idea di cosa andare a modificare. Purtroppo non ho la possibilità di impostare una rotta statica sul Tim Hub. Avete qualche suggerimento?
Di seguito vi riporto l'output dei comandi
cat /etc/config/network cat /etc/config/firewall

root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'
        option device 'lo'

config globals 'globals'
        option ula_prefix 'fde0:8fac:e820::/48'

config interface 'lan'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.0.3'
        option gateway '192.168.0.1'
        list dns '192.168.0.1'
        option device 'br-lan'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'eth0'

config interface 'vpn'
        option proto 'wireguard'
        option private_key '<private-key>'
        option listen_port '51820'
        list addresses '192.168.9.1/24'
        list addresses 'fdf1:e8a1:8d3f:9::1/64'

config wireguard_vpn
        option description 'OP5'
        list allowed_ips '192.168.9.2/32'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        option public_key '<public-key>'

root@OpenWrt:~# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone 'lan'
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list network 'lan'
        list network 'vpn'

config zone 'wan'
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'wan'
        list network 'wan6'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule 'wg'
        option name 'Allow-WireGuard'
        option src 'wan'
        option dest_port '51820'
        option proto 'udp'
        option target 'ACCEPT'

LSan83

geranom Sicuro che ne valga la pena? Una vpn come mullvad, che considero personalmente buona, costa 5 euro al mese e non hai limitazioni sulla velocità.

Secondo me il vantaggio non è il risparmio economico. Ma con tutte le limitazioni del caso (FTTC si satura in fretta purtroppo) è poter dare un ip RESIDENZIALE italiano al familiare all'estero. Così non si hanno problemi di ban vari dai servizi streaming per ip datacenter come la maggior parte delle VPN commerciali.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile